「加密」 洶湧而來!
伴隨著逐漸實現數位化轉型的腳步,企業為了保護數據和應用服務的安全,開始大量採用加密技術。例如,使用 HTTPS 服務代替傳統的 HTTP。
數據顯示:到 2016 年,超過 40% 的網站流量實現了加密,同比 2015 年增長 90% 以上。Gartner 預測,到 2019 年,80% 的 Web 流量將實現加密!
「加密」 是把雙刃劍!
眾所周知,網絡可見性是實現網絡安全和業務保障的基礎。但現在,隨著加密技術的使用,可見性變得越來越難於實現。企業在依賴這一技術獲得隱私性與安全性的同時,不法分子也有了可乘之機!
加密是把雙刃劍!黑客們同樣可以利用加密技術將其推送的惡意軟體、欲傳達的有害命令都藏匿於加密流量當中,規避檢測,確保惡意活動能夠正常實施。
這就需要 IT 部門去評估數字業務是否通過加密保護、何種強度的保護;同時也需要評估流量是否存在惡意。目前來看,針對加密流量進行檢測的解決方案主要是利用中間人的技術對流量解密,分析其中的行為和內容,再次加密發送。但這樣的解決方案存在以下局限:
加密技術旨在解決數據的隱私性,利用中間人解密則破壞了了這個初衷,同時在通道完整性等方面也存在風險;
如果加密流量持續增加,解密會消耗大量資源,同時也會造成現有網絡性能的下降。
如何識別加密威脅?
說起如何識別加密網絡流量中的威脅,還得先請出今天的主講 「思享家」——思科大中華區網絡安全業務技術總監徐洪濤。
大家好,在 「思享家」 本期微話題 「思科全數位化網絡架構(DNA)——自我學習、自我調整、自我保護的全智慧的網絡」 中,我將與大家一同探討思科推出的 ETA 技術(Encrypted Traffic Analytics,加密流量分析功能),大家在學習過程中遇到的問題或思考,可以直接在文章底部留言區留言,我都會一一作出答覆。
思科一直致力於加密網絡流量中威脅識別的研究,安全研究人員研究了數百萬不同流量上惡意流量和良性流量使用 TLS、DNS 和 HTTP 方面的差異,提煉出惡意軟體最明顯的一系列流量特性,並最終形成了思科針對惡意軟體流量傳輸模型的 Security Map。
在 DNA 的設計當中,思科推出加密流量分析功能,通過收集來自全新 Catalyst? 9000 交換機和 Cisco 4000 系列集成多業務路由器的增強型 NetFlow 信息,再與思科 Stealthwatch 的高級安全分析能力進行組合,ETA 能夠幫助 IT 人員在無需解密的情況下找出加密流量中的惡意威脅。
ETA 技術充分利用了網絡基礎架構(網絡交換機)的能力,結合機器學習,在加密數據中提取多個特徵,關聯思科安全大數據中的 Security Map,尋找惡意軟體的痕跡。提取內容包括: